| Produkt | NGINX Controller 3.x, wersje wcześniejsze niż 3.4.0 NGINX Controller 2.x, wersje 2.0.0 – 2.9.0 |
| Numer CVE | CVE-2021-23018 |
| Krytyczność | 7.4 / 10 |
| CVSS | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
| Opis | Komunikacja wewnątrz klastra nie używa TLS. Usługi w przestrzeni nazw kontrolera NGINX używają protokołów zwykłego tekstu wewnątrz klastra. Atakujący mający dostęp do klastra może mieć możliwość odczytywania i modyfikowania danych przesyłanych między usługami zarządzanymi w kontrolerze. |
| Numer CVE | CVE-2021-23019 |
| Krytyczność | 7.8 / 10 |
| CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Hasło administratora kontrolera NGINX może zostać ujawnione w pliku systemd.txt zawartym w pakiecie obsługi NGINX. Ten wyciek hasła występuje tylko po włączeniu inspekcji sudo. |
| Numer CVE | CVE-2021-23020 |
| Krytyczność | 5.7 / 10 |
| CVSS | AV:L/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N |
| Opis | Klucze API NAAS są generowane przy użyciu niezabezpieczonego pseudolosowego ciągu i algorytmu mieszania, co może prowadzić do przewidywalnych kluczy. Lokalny atakujący może potencjalnie wygenerować prawidłowy klucz użytkownika. |
| Aktualizacja | TAK |
| Link | https://support.f5.com/csp/article/K52559937 |
Nowe aktualizacje dla produktów od F5 Networks
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny